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(54) Titie: METHOD FOR INDIVISIBLY MODIFYING A PLURALITY OF SITES IN A MICROCIRCUIT CARD NON VOLATILE 
MEMORY. IN PARTICULAR A CONTACTTLESS CARD 

(54) Titre: PROCEDE POUR MODIFIER DE MANIERE INDIVISIBLE UNE PLURALITE D 'EMPLACEMENTS DE LA MEMOIRE 
NON VOLATILE D'UNE CARTE A MICROCIRCUIT, NOTAMMENT UNE CARTE SANS <X)NTACT 

(57) Abstract 

The card is temporarily connected to a terminal while a transaction is being executed comprising the application by the terminal 
to the card of a plurality of modification commands each comprising at least an operation for posting, in the card memory, a respective 
information indicated by the command, the different data being thus posted mutually interdependent. Said method comprises the following 
steps executed by the card: a) on receiving from the terminal the corresponding respective modification commands, modifying the card 
memory content by provisional posting, in the card memory, each of said interdependent data without losing previous values corresponding 
to said data; then b) finalising said modifications, either by confirming all of them, or by denying them, such that for subsequent oj^erations 
the commands executed at step a) are cither all taken into account, or are all null and void. 



(57) Abrege 

La carte est coupl6e temporairement ^ un terminal pendant Tex^cution d*une transaction comportant Tapplication par le terminal a la 
carte d'une plurality de commandes de modifications comprcnant chacune au moins une operation d'inscription, dans la mdmoire de la carte, 
d'une information respective designee par la commande, les differentes informations ainsi inscrites dtant mutuellement interdependantes. 
Ce proc6d6 comprend Tex^cution par la carte des etapes suivantes: a) sur reception de commandes respectives correspondantes revues du 
terminal, modifications du contenu de la m6moire de la carte par inscription provisoire, dans la memoire de la carte, de chacune desdites 
informations interdependantes sans perte de valeurs ant6rieures correspondant ^ ces informations; puis b) finalisation de ccs modifications, 
soit en les confimiant toutes, soit en les infirmant toutes, de sorte que pour des opdration ult^rieuies les commandes ex6cut6es k r6tape a) 
soient soit toutes prises en compte, soit toutes sans effet. 
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Procede pour modifier de maniere indivisible 
une pluralite d'emplacements de la memoire non volatile 
d*une carte a microcircuit, notamment une carte sans contact 

5 L'invention conceme les cartes a microcircuit, at plus particuli^re- 

ment les cartes a microprocesseur, qui realisent elles-mgmes diverses 
modificatioiis de leur memoire non volatile. 

Lors de Texecution d'xme transaction, la memoire est gen6ralement 
modifies, une ou plusieurs fois, et il est bien entendu necessaire de 

10 s'assurer alors que toutes les modifications ont bien ete correctement 
effectuees avant de pouvoir exploiter les informations nouvellement 
inscrites, les informations nouvellement inscrites devant etre ignor6es 
ou eflFacees en cas d'errein: ou de defaut d'int6grit6 de Tinscription. 

Le US-A-4 877 945 decrit ainsi la maniere de detecter une ano- 

15 malie survenue au cours d'une sequence d'6criture de plusiexu-s infor- 
mations ^fin d'emp^cher la pomrsuite de la transaction sur des bases 
erron6es. 

n est par ailleurs souhaitable, en cas d'anomalie, de pouvoir reve- 
nir au statu quo ante, c'est-a-dire qu'xme transaction ulterieure devra 
20 gtre a meme d'operer sur les valeinrs des informations qui etaient ins- 
crites dans la carte avant I'execution de la transaction incorrecte. 

Le US-A-4 877 945 predte n'oflBre pas cet avantage, car les ancien- 
nes valours des informations auront, poxn* certaines, ete perdues pen- 
dant I'execution de la transaction incorrecte, de sorte qu'il ne sera pas 
25 possible de restaurer ces informations leur 6tat anterieur, du moins a 
partir des seules informations contenues dans cette carte. 

Le WO-A-89/02140, quant a lui, decrit \me telle maniere d'operer, 
mais qui n'est applicable qu'au cas de la modification d*une information 
unique ou de plusieurs modifications d'informations independamment 
30 les vines de autres. 

Dans de nombrexix cas, il est cependant necessaire de modifier au 
cours de la m§me transaction plusieurs informations, et elles seront 
consid^rees "mutuellement interd6pendantes" si elles necessitent d*§tre 
traitees ensemble pour la bonne execution de Tensemble des modifica- 
35 tions de Tensemble des informations. 
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Le risque de transaction imparfaite ou inachevee portant sur une 
pluralite d'informations interdependantes est parti cnlierement eleve 
avec les cartes du type "sans contact", ou les limites du volume dans 
lequel la carte peut fonctionner correctement autour du terminal ne 
5 sont pas perceptibles. II existe dans ce cas un risque non n6gligeable de 
rupture inattendue de la communication entre carte et terminal, du a 
la sortie de la carte du rayon d*action du terminal avant la fin du trai- 
tement, ou du fait d'une perturbation passag^re, par exemple le pas- 
sage d'une masse m^tallique k proximity. 

10 Un exemple (bien entendu non limitatif) est TutilisatLon d'lme telle 

carte dans une transaction de t6l6billetique, c'est-li-dire pour Tacces a 
un r^seau de transport public, la carte jouant le double rdle de titre de 
transport et de porte-monnaie 61ectronique. 

Pour pallier les difficult^s pr6citees, et rendre "indivisibles" une 

15 plurality d'^critmres ou autres modifications de donn^es interdependan- 
tes, plusiemrs solutions ont 6te propos6es. 

Dans Texemple d'application indiqu4 plus haut, les systemes con- 
nus commencent par d^biter le porte-monnaie, puis inscrivent les droits 
de transport acquis par Tusager. Si I'usager retire sa carte entre les 

20 deux operations, il est invite a presenter la carte a nouveau et Vecriture 
des droits de transport est reprise. En revanche, s'il part sans represen- 
ter sa carte, il aura ete les6. II est bien ^videmment impossible de pro- 
ceder dans Vordre inverse car Tusager aurait alors interet a retirer sa 
carte avant que le porte-monnaie ne soit d^bite. 

25 Cette solution implique que le terminal soit sp^cialement configure 

pour permettre, en cas d'interruption, I'activation d'un traitement d'ex- 
ception g^rant la reprise de la transaction (reinsertion de la carte sur 
demande du terminal). Outre la complexification du logiciel du termi- 
nal, cette solution n'est pas totalement satisfaisante dans la mesure ou, 

30 comme on I'a indiqu4, Tusager se trouve n^anmoins I6s6 en cas de non- 
reprise de la transaction. 

Une autre solution consiste a utiliser des informations croisees, en 
conservant dans le terminal des informations sur T^tat du porte-mon- 
naie de la carte, et r^ciproquement. Mais cette solution n*est pas non 

35 plus satisfaisante car, outre sa complexity, elle augmente le volume de 
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donnees echang6es entre carte et terminal et ralentit done Texecution 
de la transaction. EUe est en outre diificilement applicable a un nombre 
important d'6critures a rendre indivisibles (trois et plus). 

L'un des buts de Tinvention est de proposer un precede permettant 
5 d'effectuer une pl\iralit6 de modifications de la memoire de la carte de 
maniere indivisible. 

Un autre but de Tinvention est de proposer un tel precede qui puis- 
se §tre entierement gere par la carte. Ce proc6d6 pourra done gtre mis 
en oeuvre sans modification des terminaux et sans qu'il y ait lieu de 
10 prevoir des traitements d'exception par ces terminavix, en utilisant la 
syntaxe des ordres existants et done avec une grande souplesse dans le 
choix des commandes. 

Le proced6 de Tinvention est du type dans lequel la carte est cou- 
plee temporairement a un terminal pendant I'ex^cution d'une transac- 
ts tion comportant Tapplication par le terminal k la carte d'une pluralite 
de commandes de modifications comprenant chacime au moins une 
operation d'inscription, dans la memoire de la carte, d'lme information 
respective designee par la conunande, les diffi§rentes informations ainsi 
inscrites etant mutuellement interd§pendantes. 
20 De fagon caract^ristique de I'invention, ce proc6de comprend I'exe- 

cution, par la carte, des Stapes suivantes : a) sur reception de comman- 
des respectives correspondantes re?ues du terminal, modifications du 
contenu de la memoire de la carte par inscription provisoire, dans la 
memoire de la carte, de chacune desdites informations interdependan- 
25 tes sans perte de valeurs ant6rieures correspondant a ces informati- 
ons ; puis b) finalisation de ces modifications, soit en les confirmant 
toutes, soit en les infirmant toutes, de sorte que pour des operations ul- 
terieures les commandes execut6es a Tetape a) soient soit toutes prises 
en compte, soit toutes ssms eflfet. 
30 Le principe de base de I'invention consiste ainsi a grouper la plu- 

ralite de modifications a r^aliser de maniere indivisible au sein d'une 
m§me 6tape a) et, apres avoir execute ces modifications, a valider glo- 
balement ces modifications par la carte. Si la validation est effective, a 
la prochaine op6ration eff(Bctu6e par la carte (au cours de la m§me tran- 
35 saction ou au cours d'lme transaction ulterieure), son contenu accessi- 
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ble refl6tera necessairement les modifications oper6es. 

Inversement, toute interruption du fonctionnement de la carte in- 
tervenant au cours de Tetape a) annulera I'ensemble des modifications 
effectuees, et les donnees de la m6moire non volatile resteront dans 
5 leur etat anterieur a Tetape a). 

Dans \m mode de realisation particulier, en cas de confirmation k 
r^tape b), on inscrit dans la m6moire de la carte mi t^moin confirmatif 
de bonne execution et, lorsque la carte re^oit ulterieurement une com- 
mande impliquant la lecture et/ou la modification de rune au moins des 

10 informations inscrites a Tetape a) ou de la valeur y correspondant, la 
carte examine prealablement Tetat du temoin et, si celui-ci n'a pas 6te 
inscrit, la carte ignore ou annule les inscriptions provisoires anterieu- 
rement operees a Tetape a) et execute la commande sur la base desdites 
valeurs anterieures correspondant aux informations. Lorsque la carte 

15 examine T^tat du temoin, si celxxi-d a 6t€ inscrit la carte peut alors exe- 
cuter des operations de recopie des 6crit\ires provisoires operees a 
r6tape a). 

Tres avantageusement, la carte est apte a fonctionner selon deux 
modes, k savoir un mode en session, dans lequel les inscriptions sont 
20 operees par execution des etapes a) et b), et un mode hors session, dans 
lequel Toperation des inscriptions n*est pas confirmee a Tensemble des 
etapes a) et b). 

L'ouverture de session «peut §tre implicite, par exemple a la remise 
a zero (reset) de la carte ou suite a une commande a double action 
25 d'execution d'une operation predeterminee et interpretee comme im or- 
dre d'ouverture de session. 

Par exemple, quand xme inscription normalement certifiee n'est pas 
accompagnee d*un certificat, la carte ouvre automatiquement une ses- 
sion qui traite Tinscription dans cette session. 
30 De la m§me fa9on, la fermeture de session peut §tre implicite, suite 

k xme commande a double action d'execution d*une operation predeter- 
minee et interpr6t6e comme im ordre de fermeture de session. 

Par exemple, une operation de debit du porte-monnaie ferme la 
session, ce qui de plus evite de devoir difierer la communication du cer- 
35 tificat resultant et permet de confondre les certificats de session avec 
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ceux de transaction du porte-monnaie. 

Trhs avantageusement, le precede comprend une fonction d'authen- 
tification combin6e a la fonction de finalisation de I'etape b), forgant 
rinfirmation k Tetape b) dans le cas ou rauthentification echoue. 
5 Dans une premiere mise en oeuvre, cette authentification est ope- 

ree par la carte qui authentifie le terminal et/ou les donn6es echang6es 
entre terminal et carte, la carte contrdlant un certificat cryptographi- 
que produit par le terminal et transmis k la carte et ne confirmant les 
modifications k T^tape b) que si ce certificat est reconnu correct. 
10 Dans le cas d'un mode avec session, on peut pr6voir que, lorsque la 

carte re^oit du terminal des commandes de modifiication du contenu de 
la memoire incluant la verification d'un certificat cryptographique, cet- 
te verification est op6ree si la commande est regue hors session, et ne 
Test pas si la commande est regue en session. 
15 En d'autres termes, celles des commandes execut^es par la carte b) 

k r6tape b) qui normalement (c'est-^i-dire hors session) verifieraient \m 
certificat cryptographique, ne comprennent plus cette verification 
quand elles sont executees dans le cadre d'une session, le "certificat de 
session authentifiant le terminal" r^alisant \me fonction eqmvalente. 
20 Dans une secoride mise en oeuvre, Tauthentification est operee par 

le terminal qui authentifie la carte et/ou les donnees echangees entre 
terminal et carte, la carte produisant et transmettant au terminal un 
certificat crjrptographique de maniere conditionnelle, si et seulement si 
les modifications ont et6 confirmees a I'etape b). 
25 Dans le cas d'un mode avec session, on peut prevoir que, lorsque la 

carte revolt du terminal a I'etape b) des conmiandes de modification du 
contenu de la memoire incluant la production d'un certificat cryptogra- 
phique, cette production est operee si la commande est re?ue hors ses- 
sion, et ne Test pas si la commande est regue en session. 
30 En d'autres termes, celles des commandes executees par la carte a 

retape b) qui normalement (c'est-a-dire hors session) produiraient un 
certificat cryptographique, ne comprennent plus cette production quand 
elles sont executees dans le cadre d'une session, le "certificat de session 
authentifiant le terminal" reahsant une fonction equivalente. 
35 On peut par aiUeurs prevoir que, lorsque la carte regoit du terminal 
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des commandes de modification du contenu de la m^moire incluant la 
production d'une pluralite de certificats crsnptographiques, ces certifi- 
cats sont m6moris6s a cette etape b), puis transmis ensemble au termi- 
nal si et seulement si les modifications ont ete confirmees a Tetape b). 
5 En d'autres termes, on prevoit de diflferer la communication par la 

carte des certificats cryptographiques produits normalement par les or- 
dres de Tetape b). En particulier, si une commande d'ecriture certifiee 
produit un certain certificat d'ecriture, il est souhaitable que celui-ci ne 
sorte de la carte qu*une fois Tecriture efTectu^e irr6vocablement. 

10 Dans une forme de mise en oeuvre particuliere, au moins certaines 

des commandes susceptibles d'§tre executees a Tetape b) comprerment 
un eventuel attribut d'inhibition et, si la carte execute une telle com- 
mande en session a une etape b), les modifications oper^es par cette 
commande prennent effet independamment du resultat de Tetape b). 

15 En d'autres termes, I'attribut definit si la commande est effectuee 

en session (c'est-a-dire sera annulee si la session n'est pas fermee) ou 
hors session (c'est-a-dire eflfective immediatement, comme si elle etait 
efiectuee hors session, meme si elle est chronologiquement en session). 
Tres avantageusement, le procede prevoit en outre, apr^s Tetape b) 

20 et en cas de confirmation des modifications, la sequence d'etapes sui- 
vante : d) execution par le terminal d'une action suite a la confirmation 
par la carte ; e) en cas de bonne execution de ladite action par le termi- 
nal, inscription dans la carte d*\me information de ratification ulterieu- 
rement accessible en lecture. 

25 Une telle "ratification" de la session indique k la carte que le termi- 

nal a efiFectivement pu prendre les decisions (par example Touverture 
d'un portillon dans le cas d'xme application d'acces k un reseau de 
transport en commxm) suite a I'execution de la session. 

On notera que cette ratification est g6r6e par la carte sans neces- 

30 site d'xme 6criture supplementaire Oa recopie des ecritures provisoires 
etant une operation qui, de toute fa9on, doit §tre t5t ou tard effectuee). 
En outre cette recopie n'est operee c6te carte qu'a condition que Taction 
est bien executee c6t6 terminal, c'est-^-dire uniquement en cas de cohe- 
rence de I'ensemble de la transaction. 

35 L*ensemble des operations etant geree par la carte, on peut avanta- 
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geuseinent prevoir que la commande d*inscription de Tetape e) est une 
commande implicite, toute commande re?ue par la carte apres Tetape b) 
etant interpret6e comme \m ordre d'inscription dans la carte d'une in- 
formation de ratification. 

5 

D'autres caract6ristiques et avantages ressortiront de la descrip- 
tion ci-dessous de deux exemples de mise en oeuvre de Tinvention. 

Dans ces exemples, comme d'ailleurs dans le reste du texte, le mot 
"designer", ici entendu au sens de "determiner un parmi plusieurs", 
10 vise Taction consistant a caracteriser une information particuliere par- 
mi les diff5§rentes informations contenues dans la carte. 

Cette designation peut §tre implicite, parce que la commande vise 
par elle-m§me une information particuliere ; par exemple, la conunande 
"debiter le porte-monnaie d*un montant x" d^signe Templacement me- 
15 moire contenant la valeur de Tinformation "solde du porte-monnaie". 

EUe peut 6tre egalement explicite, comme par exemple dans 
Texemple I ci-dessouis, oti il est prevu des commandes d'ecriture avec 
ime adresse ou un identifiant de secteur, indexes par \m indice i. 

20 Exemple I 

On se propose de r6aliser une carte stockant 100 valexirs de huit 
octets chacune, et supportant les ordres : 

— Lecture d'tme valeur v de 8 octets, d6sign6e par son indice i de 1 a 
25 100. 

— Venture d'une valeiir v de 8 octets, designee par son indice i de 1 a 
100. 

— Ouverture de session. 

— Fermeture de session. 

30 La carte doit permettre jusqu'a trois ecritures dans une m§me ses- 

sion. Par convention, on utilisera des lettres majuscviles pour designer 
les valeurs en m^moire non volatile (EEPROM par exemple) et des let- 
tres minuscxiles pour designer les valeurs en m6moire volatile (RAM, 
dont le contenu est perdu k la mise hors tension). 

35 Une zone de m6moire non volatile est affectee au stockage principal 
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des donnees de la carte (ecritures definitives) : 

• V[i], i de 1 ^ 100 : 100 x 8 octets 

Une autre zone de memoire non volatile est afifect6e au mecanisme 
de session, et comprend : 
5 • T[k], j de 1 k 3 : 3 X 8 octets contenant les valexirs ecrites pendant 
la session (6critures provisoires). 

• j de m 3 : 3 X 1 octet contenant les indices des valeurs ecrites 
pendant la session. 

• C : 1 octet de comptage qm sera 6crit en fin de session. 

10 C code le nombre d'6critures effectu6es dans la session ; un meca- 

nisme de redondance approprie (associant par exemple le complement 
de cette valeiir) permet d'assurer que Ton sait d6tecter le cas ou la va- 
leur stock^e dans cet octet de comptage est incertaine. 

15 Le d6ro\ilement des operations est le suivant. 

fetape 0 : a un moment compris entre la mise sous tension de la carte et 
la premiere commande r6alisee, C est examine. S'il est k une valeur 
certaine de 1 a 3, alors pour k de 1 a C on copie la valeur T[k] a 
rindice I[k] du tableau V[i]. Puis C est mis a 0, et une variable 

20 interne j a -1 (pour indiquer qu'une session n'est pas ouverte). 

!fetape 1 : k la lecture on examine si j>0; si oui, on compare Tindice i de- 
mande avec les valeurs I[k] pour k de j a 1 en decroissant. En cas 
d*identite, on retoume T[k]. Dans tous les autres cas, on retoume 
VB]. 

25 fetape 2 : a Touverture de session, on initialise j = 0 (li noter que si une 

session est ouverte, elle est annuiee) 
;fetape 3 : a chaque ecriture, si j =-1 (session non ouverte), on ecrit la 

valeur v commimiquee en T[0], Tindice i communique en I[0], pms 

on ecrit C=l, puis on 6crit v en V[i], puis on ecrit C=0; si 0<j<3 
30 (ecriture en session), on augmente j de 1, on ecrit v en TQ], on ecrit 

i en si j=3 on refuse I'operation (depassement de la limite des 

ecritures en session). 
fetape4 : a la fermeture de session, si j>0, on ecrit j en C, pxiis pour j de 

1 C on copie la valeur T|j] k Tindice du tableau VQ. Puis C est 
35 mis ^0, et j k -1. 
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On montre qu'a tout moment on peut couper Talimentation de la 
carte et que les valeurs lues seront correctes, c'est-^-dire pour chaque 
indice i la demiere valeur 6crite hors session ou 6crite dans ime session 
close (Fecriture est achev6e ou la session est close au moment ou une 
5 valeur non nulle est 6crite dans C). 

La cryptographie s'ajoute en emp§chant certaines operations si un 
certificat cryptographique fourni a la carte est incorrect, et/ou en fai- 
sant produire k la carte des certificats cryptographiques a Tissue de 
10 certaines operations. 

Les certificats acyptographiques utilises sont bases sur une crypto- 
graphie de type connu. Par exemple, le "certificat de siession authenti- 
fiant la carte" (respectivement, le terminal) est obtenu en appliquant 
c6te carte et terminal Talgorithme Secure Hash Algorithm (SHA) aux 
15 doxmees foumies par la carte (resp. le terminal) et ^ un nombre aleatoi- 
re fourni par le temainal (resp. la carte) a Touvertxire de la session ; le 
Message Authentication Code (MAC) resultant est signe par la carte 
(resp. le terminal) par Talgorithme de signature Digital Signature 
Algorithm (DSA) avec ime cle secrete contenue dans la carte (resp. le 
20 terminal) ; le terminal (resp. la carte) verifie cette signature avec une 
cl6 publique. Un algorithme de cryptographie sym6trique tel que Data 
Encryption Standard (DES) peut aussi gtre utilisee pour la production 
du MAC et/ou Telaboration des signatures. 

Selon une option de Tinvention, TStape de production du MAC est 
25 commune a\ix deux sens d'authentification, et porte sur Tensemble des 
donn6es de la session. Et dans le cas d'lme cryptographie sym6trique, le 
certificat authentifiant la carte et celui authentifiant le terminal sont 
obtenus par une seule ^tape de chiffrement du MAC, les certificats res- 
pectifs de la carte et du terminal s'en deduisant par une operation 
30 6lementaire telle qu*extraction de certains bits pr6d6termines. 

Exemple II 

Dans cet exemple les donnees de la m6moire sont organisees en 
35 secteuris comportant chacun quatre champs : 
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1. donnees ; 

2. identifiant (cle d*acces permettant de selectionner iin sectexir) ; 

3. pertinence : permet de determiner le secteur pertinent si deux sec- 
5 teurs ont le m§me identifiant ; 

4. contrSle : permet de verifier Tintegrit^ des trois champs precedents 
(par exemple un contrdle de type parity). 

Un secteur sera d6signe par son identifiant, notion qui se substitue 
k celle d'adresse. La procedure d'ecriture d'un secteur a comme para- 

10 m^tre \m identifiant et des donn6es a associer a cet identifiant. La pro- 
cedure de lecture d'lm secteur a comme parametre un identifiant, et 
retoume les donnees associees k cet identifiant lors de la demi^re ecri- 
ture effectu6e avec ce mgme identifiant (ou xxae indication appropri^e si 
cet identifiant n'a jamais ete utilise). En d'autres termes, on realise im 

15 acc^s de type associatif au lieu d'\m acces index4. 

Lors de la procedxnre de lecture d'xm secteur, la carte recherche les 
secteurs dont Tidentifiant a la valeur demandee, et qui (sur la base du 
champ de contrdle) sont integres. Au cas ou plusieurs secteurs r^pon- 
dent k ces deux critdres, eUe en retient un sur la base du champ de per- 

20 tinence. 

Lors d'une 6criture de secteur, la carte ecrit, dams un secteur dispo- 
nible, les champs donnees et identifiant demand^s, le champ pertinence 
tel que ce secteur sera, pour la procedure de lectxure, le plus pertinent 
des secteurs integres poss^dant cet identifiant, et le champ contrdle en 
25 accord avec les trois champs precedents (en d'autres termes, I'ecriture 
est g6r6e de mani^re que la lecture ulterie\rre puisse fetre correctement 
op6r6e). 

Avantageusement, la procedure d'ecriture se poursmt par Teflface- 
ment du secteur rendu non pertinent par I'ecriture du nouveau secteur, 
30 creant ainsi un nouveau secteur disponible. 

On prevoit avantageusement un systeme (complementaire) de tjrpe 
garbage collection , c'est-a-dire de recuperation des secteinrs inutiles, 
qu'ils soient non integres ou non pertinents. 

On pr^vbit avantageusement un systeme qui r^partit Tusiire r^sul- 
35 tant de I'ecriture en evitant d'utiliser toujours les mgmes secteurs, par 
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exemple en choisissant aleatoirement un secteur parmi les secteurs 
disponibles. 

Une variante generalement avantageuse de la procedure de recher- 
che de secteur consiste a profiter de cette 6tape de recherche pour effa- 
5 car les secteurs dont il est determine qu'ils sont non integres, etyou ceux 
qui ne sont pas les plus pertinents, recreant ainsi des secteurs libres 
(cela perd du temps lors de cette lectxare, en faveur de la vitesse des 
lectures et ecritures ult6rieures). Avantageusement, avant refifacement 
d'un secteur dont on a determine qu'il est integre mais non pertinent, 
10 on ecrira a nouveau le secteur pertinent, dont Tecritinre peut gtre im- 
parfaite. 

La taille utile de la memoire est egale au nombre de secteurs dispo- 
nibles, moins un sectein- qui doit rester eflFace. Tous les secteurs (y com- 
pris celui eflFace) sont r6partis dynaroiquement dans la memoire. 
15 Si les donnees doivent etre structurees en fichiers, par exemple 

selon la norme ISO/IEC 7816-4, Tidentifiant de secteur se decompose en 
deux sous- champs, un identifiant de fichier et un identifiant du secteur 
dans ce fichier. 

20 On va donner ci-dessous une implementation (non limitative) des 

operations de lecture/ecriture utilisant cette structuration particuliere 
en secteurs : 

— Le champ de contrSle contient, code en binaire, le nombre de bits a 
zero dans les trois autres champs ; on montre que si tm problfeme 

25 tel qu'une ecriture ou xm eflfacement interrompu modifie un nombre 

quelconque de bits du secteur tous dans le m§me sens, le contrSle 
de la valeur du champ de contrSle permet toujours la detection du 
probleme. 

— Le champ pertinence est un entier de 0 ^ 3, cod6 sur 2 bits. 

30 — La procedure de lectxire parcourt sequentiellement tous les secteurs 
jusqu'a trouver un premier secteur possedant Tidentifiant re- 
cherche, et integre. Si cette recherche ne trouve aucxm secteur, on 
termine la procedure avec \m compte-rendu "secteur non trouv6". Si 
on trouve un tel premier secteur, on memorise sa position, ses 

35 donnees, et sa pertinence p. La recherche se poursuit. Si Ton de- 
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tecte un second secteur poss^dant I'identifiant recherche, et intfe- 
gre, on teste si sa pertinence q est le reste de la division entiere de 
p+1 par 3 ; si oui, on ecrit k nouveau le second secteur, on efface le 
premier et on retoume les donn§es du second ; sinon, on ecrit k 
nouveau le premier secteur, on efface le second et on retoume les 
donn§es du premier. Si un second secteur n'est pas trouve et si la 
pertinence du premier secteur est p=3, on efface ce secteur et on 
donne le compte-rendu "secteur non trouv6" ; dans les autres cas, 
on retoume les donnees du premier secteur trouv6. 
La procedure d'6crittire commence comme la procedure de lectvire 
ci-dessus. Si Ton a trouv6 le secteur que retoumerait la proc6diu:e 
de lecture pour I'identifiant foumi, on memorise la position de ce 
secteur et sa pertinence p (qui vaut 0, 1 ou 2) ; si on ne Ta pas trou- 
ve, on s^lectionne un secteur libre (par la procedure ci-apr^s) et on 
6crit dans ce secteur les champs identifiant, donnees, pertinence. 
p=3 et contrSle, et Ton memorise la position et la pertinence de ce 
secteur. Dans les deux cas, on poursuit en s^lectionnant un secteur 
libre (par la procedure ci-aprfes). On 6crit dans ce secteur les 
champs identifiant, donnees, pertinence q (calculee comme le reste 
de la division entiere de p+1 par 3) et contrdle. Puis on efface le 
secteur m6moris6. 

Pour la recherche de secteur hbre, on initiaUse k z6to le nombre n 
de secteurs Ubres trouv^s. On examine sequentiellement les sec- 
teurs. Pour chaque secteur, s'il est non vierge et non intfegre, on 
Fefface et il devient vierge (contribuant ainsi k la garbage collec- 
tion mentionn^e plus haut) ; s'il est integre et si sa pertinence est 
p=3, on Tefface (idem) ; s'il est integre et si sa pertinence n'est pas 
p=3, alors on recherche dans la zone non encore parcoume un autre 
secteur integre de m§me identifiant, et si Ton en trouve \m on ef- 
face celui qui n'est pas pertinent, en proc6dant comme po\ir la lec- 
ture ; si a Hssue de ce processus le secteur est vierge, on incremen- 
te le nombre n de secteurs Ubres trouves, et Ton effectue le tirage 
aleatoire d'un entier de 0 ^ n-1 ; si cet entier est 0, on memorise la 
position du secteur vierge. Quand tous les secteurs ont et^ parcou- 
ms, tous les secteurs non vierges sont int^gres, il n'existe pas deux 
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secteurs de m§me identifiant, on connait le nombre n de secteurs 
vierges, et Ton a memorise Tun d'eux choisi aleatoirement de ma- 
nifere 6quiprobable. Si aucun secteur libre n*est trouve, la procedirre 
d'ecriture estinterrompue. 

5 

On va maintenant indiquer la maniere dont la carte peut gerer des 
sessions de modifications indivisibles avec une telle structuration parti- 
culiere en secteurs. 

Pour stodcer les modifications indivisibles, la carte dispose dans la 
10 memoire non volatile de N secteurs effaces (N correspondant au nombre 
de modifications indivisibles que Ton poiura effectuer au cours d'une 
mgme session). De plus, elle gere une zone de la m6moire non volatile 
(hors secteurs) d6diee la gestion de session et appel6e "descripteur de 
session". 

15 Get exemple d'impl6mentation ne comprend aucune authentifica- 

tion propre a la session. 

On definit un descripteur de session, compost de 3 champs : 

— Liste des references des secteurs indivisibles (LRSA). 

— Valeur de contrdle de cr6ation de la liste des ref6rences des sec- 
20 teurs indivisibles (VCC). 

— Valexu: de contrSle de prise en compte de la liste des references des 
secteurs indivisibles (VCPC), qui permettra de savoir si Ton a ou 
non ferm6 une session). 

fetape 0 : initialisation : avant le premier acces aux donnees depuis la 
25 demiere interruption de fonctionnement de la carte, par exemple 

au reset (remise k z6ro), la carte doit faire en sorte que le descrip- 
teur de session soit eflfac6. II y a plusieurs cas a considerer, selon 
V6tat du descripteur de session : 

— n est totalement efface : la carte le laisse en Tetat. 

30 — n n'est pas totalement efface, et la VCPC est correcte : la carte 

recherche et efface (si necessaire) tous les secteurs rendus obso- 
l^tes par ceux 6crits (parmi ceux ref§renc6s dans la liste), puis 
efface le descripteur de session. 

— n n'est pas totalement efface, la VCPC est effacee ou incorrecte 
35 et la VCC est correcte : la carte efface les secteurs indiques dans 
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la LRSA, puis efface le descripteur de session. 
— II n'est pas totalement effac§, la VCPC est effac6e ou incorrecte 
et la VCC est effac^e ou. incorrecte : la carte efface le descripteur 
de session. 

5 6tape 1 : ouverture de session : la carte recherche N secteurs effaces, 
puis note la liste de leur reference et sa VCC dans le descripteur de 
session (suppose e£rac6). 
fetape 2 : en cours de session : la carte re9oit des commandes. Lorsque 
Tune d'eUe provoque une ou plusieurs modifications indivisibles, les 
10 secteurs utilises pour noter ces modifications sont cexix not6s dans 

la LRSA, k concurrence de N sectexnrs modifies. 
6tape 3 : fermeture de session : pour former la session, la carte ecrit la 
VCPC, qui assure que la LRSA et sa VCC ont 6t6 pris en compte. 
Ensuite, elle recherche et efface toxis les sectetirs rendus obsolfetes 
15 par ceux Merits (parmi ceux references dans la liste). Enfin, elle ef- 

face le descripteur de session. 

Si, en outre, la carte gere la ratification, la gestion des sessions 
comporte les modifications ci-aprfes. 

20 fetape 0 : initialisation : dans ce lui des cas ou le descripteiu: de session 
n'est pas totalement efface et la VCPC est correcte, la carte recher- 
che et efface (si necessaire) tous les secteurs rendus obsoletes par 
ceux Merits (parmi ceux r6f(§renc6s dans la liste), mais elle n'efface 
pas le descriptein: de session. 

25 fetape 1 : ouverture de session : la carte note en memoire volatile 
qu'ime session est ouverte. Si le descripteur de session n'est pas 
vierge, la carte signale que la session precedente n'a pas 6t6 ratifiee 
et peut mSme, en analysant la LRSA, indiquer quelles sont les 
donnSes non ratifi^es. Quoiqu'il arrive, elle ne modifie pas le des- 

30 cripteur de session. 

fetape 2 : en com-s de session : lors de la premiere commando avec mo- 
difications indivisibles, la carte efface le descripteur de session si 
necessaire, recherdie N secteurs effaces, puis ^crit la LRSA et sa 
VCC. 

35 fetape 3 : fermeture de session : la carte note en memoire volatile 
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qu'aucune session n'est ouverte. Quoiqu'il arrive, elle n'efface pas le 
descripteur de session. 
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REVENDICATIONS 

1. Un precede pour modifier le contenu de la ni6moire non volatile 
d'une carte k microcircxiit, notamment d'une carte sans contact, 
5 proced6 dans lequel la carte est couplee temporairement a un ter- 

minal pendant Texecution d'tme transaction, notamment d'une transac- 
tion de t6l6bill6tique, comportant Tapplication par le terminal k la carte 
d*une pluralite de commandes de modifications comprenant chacune au 
moins une op6ration d'inscription, dans la m6moire de la carte, dWe 
10 information respective d^sign^e par la commande, les diflF6rentes infor- 
mations ainsi inscrites 6tant mutuellement interd6pendantes, 

proc6d6 caract^rise en ce qu'il comprend I'execution, par la carte, 
des stapes suivantes : 

a) sur reception de commandes respectives correspondantes revues du 
15 terminal, modifications du contenu de la memoire de la carte par 

inscription provisoire, dans la m6moire de la carte, de chacune des- 
dites informations interd6pendantes sans perte de valeurs ant6ri- 
eures correspondant a ces informations ; puis 

b) finalisation de ces modifications, soit en les confirmant toutes, soit 
20 en les infirmant toutes, de sorte que pour des operations ult6rieu- 

res les commandes executees k Tetape a) soient soit toutes prises en 
compte, soit toutes sans effet. 

2. Le procede de la revendication 1, dans lequel : 
25 — en cas de confirmation k T^tape b), on inscrit dans la memoire de la 
carte un temoin confirmatif de bonne execution, et 
— lorsque la carte re^oit ult6rieurement une commande impliquant la 
lecture et/ou la modification de Tune au moins des informations 
inscrites a Tetape a) ou de la valeur y correspondant, la carte 
30 examine pr^alablement T^tat du temoin et, si celui-ci n'a pas 6t6 

inscrit, la carte ignore ou annule les inscriptions provisoires 
ant^rieurement op6r6es a r6tape a) et ex6cute la commande sur la 
base desdites valeurs anterieures correspondant aux informations. 

35 3. Le procede de la revendication 2, dans lequel, lorsque la carte 
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examine Tetat du temoin, si celui-ci a 6te inscrit la carte execute des 
operations de recopie des §critures provisoires operees k Tetape a). 

4. Le proc6d6 de Tune des revendications 1 et 2, dans lequel la carte 
5 est apte k fonctionner selon deux modes, a savoir : 

— un mode en session, dans lequel les inscriptions sont op6rees par 
execution des stapes a) et b), et 

— un mode hors session, dans lequel Toperation des inscrijptions n'est 
pas confirmee k Vensemble des etapes a) et b). 

10 

5. Le proc6d6 de Tune des revendications 1 4, comprenant une 
fonction d'authentification combinee a la fonction de fihalisation de I'e- 
tape b), for9ant Tinfirmation k Tetape b) dans le cas ou Tauthentifica- 
tion 6choue. 

15 

6. Le precede de la revendication 5, dans lequel ladite authentifica- 
tion est operee par la carte qui authentifie le terminal et/ou les donnees 
^chang^es entre terminal et carte, la carte contrdlant un certificat crjrp- 
tographique produit par le terminal et transmis k la carte et ne confir- 

20 mant les modifications a I'^tape b) que si ce certificat est reconnu cor- 
rect. 

7. Le proc6d6 des revendications 4 et 6 prises en combinaison, dans 
lequel, lorsque la carte re9oit du terminal des commandes de modifica- 

25 tion du contenu de la memoire incluant la verification d'un certificat 
crjnptographique, cette verification est operee si la commande est re^ue 
hors session, et ne Test pas si la commande est regue en session. 

8. Le proc6de de la revendication 5, dans lequel ladite authentifica- 
30 tion est op6r6e par le terminal qui authentifie la carte et/ou les donnees 

echang^es entre terminal et carte, la carte produisant et transmettant 
au terminal un certificat cryptographique de maniere conditionnelle, si 
et seulement si les modifications ont 6te confirmees a I'etape b). 

35 9. Le precede des revendications 4 et 8 prises en combinaison, dans 
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lequel, lorsque la carte revolt du terminal des commandes de modifica- 
tion du contenu de la memoire incluant la production d'lm certifiqat 
cr3T)tographique, cette production est operee si la commande est retue 
hors session, et ne Test pas si la commande est re9ue en session. 

5 

10. Le proc6de de Txme des revendications 1 et 2, dans lequel, lors- 
que la carte regoit du terminal a T^tape b) des commandes de modifi- 
cation du contenu de la memoire incluant la production d'lme pl\iralit6 
de certificats cryptographiques, ces certificats sont m^moris^s k cette 

10 6tape b), puis transmis ensemble au terminal si et seulement si les 
modifications ont 6te confirmees k Tetape b). 

11. Le precede des revendications 1 et 4 prises en combinaison, 
dans lequel au moins certaines des conmxandes susceptibles d'gtre exe- 

15 cut6es k T^tape b) comprennent un eventuel attribut d'inhibition, et 
dans lequel, si la carte execute une telle commande en session a une 
§tape b), les modifications op^r^es par cette commande prennent effet 
independamment du resultat de Tetape b). 

20 12. Le procede de Tune des revendications 1 et 2, dans lequel il est 

en outre pr6vu, apr^s T^tape b) et en cas de confirmation des modifica- 
tions, la sequence d'etapes suivante : 

d) execution par le terminal d'une action suite k la confirmation par la 
carte ; 

25 e) en cas de boime execution de ladite action par le terminal, inscrip- 
tion dans la carte d'xine information de ratification ulterieiu'ement 
accessible en lecture. 

13. Le precede de la revendication 12, daiks lequel la commande 
30 dinscription de I'^tape e) est une commande implicite, toute commande 
reQue par la carte apr^s Tetape b) 6tant interpr^tSe comme im ordre 
dinscription dans la carte d'une information de ratification. 
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